I P s e c T10:IPSec ~ 技 術 概 要 とセキュアなネットワークの 実 現 手 法 ~ 第 二 部 IPsec VPNの の 設 計 ポイント 2003/12/3 株 式 会 社 ディアイティ セキュリティビジネス 推 進 室 山 田 英 史 Copyright (C) 2003 All rights reserved, by Matsushima &Yamada
第 二 部 の 内 容 1. IPsec VPNの の 設 計 ポイント 2. IPsec VPNの の 障 害 対 応 2
T10:IPSec ~ 技 術 概 要 とセキュアなネットワークの 実 現 手 法 ~ 第 二 部 1. IPsec VPN 設 計 ポイント 3
1-1. 1. 要 求 仕 様 の 確 認 4
要 求 事 項 の 確 認 導 入 の 目 的 既 存 ネットワークの 構 成 (ルータ NAT Firewall 等 既 存 機 器 の 確 認 ) WAN 側 の 回 線 種 LAN 側 の 回 線 種 アドレス 体 系 トポロジー(スター 型 メッシュ 型 一 方 向 双 方 向 ) VPNを を 利 用 するホストやネットワー クの 数 VPNと と 一 般 インターネットアクセ スの 併 用 アプリケーションの 種 類 流 れるプロトコルの 種 類 パケットサイズ アクセス 制 限 やNAT NATなど 品 質 (タイムアウト 遅 延 障 害 時 の 対 応 時 間 ) トラフィック 量 の 時 間 変 化 管 理 者 の 有 無 保 守 体 制 (24 24h365d xx 時 間 内 ) 導 入 スケジュール 予 算 5
製 品 の 機 能 と 性 能 を を 見 極 める 機 能 面 と 性 能 面 を 評 価 し ニーズに 合 った 製 品 を 選 択 機 能 面 IPsecの の 実 装 レベル 拡 張 機 能 性 能 面 スループット SA 数 6
IPsec 機 器 の 形 態 製 品 形 態 による 特 性 も 考 慮 IPsec 専 用 装 置 高 スループット 低 い 故 障 率 単 機 能 IPsec 機 能 付 きファイアウォール 機 能 の 統 合 アクセス 制 限 煩 雑 な 管 理 障 害 切 り 分 けの 難 しさ IPsec 機 能 付 きルータ 機 能 の 統 合 低 い 故 障 率 低 スループット 機 器 自 身 のセキュリティ IPsec clientソフト モバイル 環 境 低 価 格 低 スループット 分 散 管 理 7
1-2. IPsec-VPN 設 計 のポイント 8
ポイント (1) トラフィックの 質 と 量 の 把 握 (2) 既 存 ネットワークへの 影 響 (3) スループット パフォーマンス (4) SAの の 検 証 (5) 経 路 上 のルータの 設 定 (6) IPアドレスの 運 用 (7) フラグメンテーション (8) 認 証 方 法 の 選 択 (9) NAT 併 用 の 注 意 点 (10) Firewall 併 用 時 の 注 意 点 (11 11) その 他 ソリューションとの 併 用 の 注 意 点 (12) IPsec clientの の 仕 様 (13) 管 理 監 視 機 能 (14) 障 害 対 応 (15) 輸 出 規 制 に 関 する 注 意 点 (16) 保 守 体 制 9
(1)トラフィックの 質 と 量 の 把 握 トラフィック 量 は 時 間 の 経 過 によって 変 化 す る 日 常 業 務 のどの 時 間 帯 にトラフィックが 最 大 になり どのホストあるいはセグメン トに 集 中 するのかを 把 握 流 量 に 合 わせたキャパシティを 持 つ 製 品 を 選 択 10
(1)トラフィックの 質 と 量 の 把 握 流 れるパケットの 大 きさとアプリケーション のタイムアウトといった 求 められるトラフィッ クの 質 に 注 目 IPsec 処 理 はオーバヘッドが 大 きい ショートパケットに 弱 いものもある Re-Key Keyの の 処 理 時 間 も 考 慮 11
(2) 既 存 ネットワークへの 影 響 IPsec-VPN VPNを を 導 入 するネットワークを 図 に 起 こし IPsec 機 器 の 設 置 箇 所 を 吟 味 特 に 既 存 のネットワークへの 影 響 やサービ スへの 影 響 を 考 慮 する 既 存 の 機 器 との 併 用 ファイアウォールやNAT NATルータなどと の 併 用 12
(3)スループット パフォーマンス ショートパケットが 頻 発 するコンテンツ( 音 声 や 動 画 )を 対 象 にする 場 合 は 実 測 によるスループット の 確 認 が 望 ましい パケットロス 率 (%) パケットロス 率 (%) 100 100 80 60 40 20 負 荷 (Mbps) ( 80 60 40 20 負 荷 (Mbps) ( 2 4 6 8 10 64byte 長 パケット 送 出 (カタログスペック10 10Mbps Mbpsの の 製 品 ) 2 4 6 8 10 1440byte 長 パケット 送 出 (カタログスペック10 10Mbps Mbpsの の 製 品 ) 13
(3)スループット パフォーマンス 現 実 のパフォーマンス Mbpsより よりpps SAの の 確 立 (Re Re-key keyも)に 要 する 時 間 SA 数 によっては 数 分 かかる 場 合 もある アプリケーションのタイムアウトに 注 意 14
(3)スループット パフォーマンス 実 装 による 違 い Windows XP 純 正 IPsecと と 市 販 のIPsec IPsecクライアント ソフトの 速 度 比 較 IPsecクライアントソフト IPsecクライアントソフト HUB テストツールによるファイル 転 送 IPsec 平 文 XP 純 正 市 販 ソフト スループット( 秒 ) 5 8 22 IKEログ 保 存 を 行 うことで 時 間 経 過 とともに 速 度 の 劣 化 が 見 られた 15
(4)SA SAの の 検 証 SA 数 Phase 1は は 装 置 間 毎 = 対 地 に 関 係 Phase 2はターゲット 毎 (プロトコル 毎 に2 本 )=ネットワー ク 規 模 に 関 連 Phase 1 SA Phase 2 SA 16
(4)SA SAの の 検 証 Re-Key 時 のSA 二 重 保 持 例 えばフェーズ 2のLife Timeを10 分 と 設 定 LifeTimeの の 何 %で 次 のSA SAが が 準 備 されるかは 製 品 によって 異 なる LifeTimeは は 経 過 時 間 以 外 にパケット 数 で 設 定 できる 製 品 も 有 り 10 分 Life Time (7 分 ) 10 分 7 分 経 過 後 次 の セッション 開 始 10 分 10 分 この 間 SAを を 二 重 に 保 持 フェーズ1はLife Timeの の 時 点 でいきなりRe Re-Key 17
(4)SA SAの の 検 証 リモートアクセス 時 のSA 二 重 保 持 10.10.10.5のSA IPsec gateway 10.10.20.5 Internet IPsec 対 応 ダイヤルアップルータ PPP 再 接 続 10.10.10.5のSA 保 持 10.10.20.30 Internet 10.10.10.30のSA 18
(4)SA SAの の 検 証 SAの の 最 大 値 トンネル 数 セッション 数 など 各 メーカ により 様 々 Phase 1の 数 なのかPhase 2の の 数 なのか Phase 2の の 上 り 下 り2 本 を 考 慮 していのか Phase 2 LifeTimeの の 重 複 は 考 慮 しているの か 前 述 のような 理 由 からPhase2 SAの の 数 は カタログスペックの50% 程 度 に 考 えた 方 が 無 難 Phase 1は は 実 証 試 験 が 困 難 装 置 を 必 要 数 用 意 することができない 19
(4)SA SAの の 検 証 SA 数 の 調 整 192.168.24.10 Router IPsec gateway ターゲット 192.168.32.* 192.168.24.10 192.168.24.20 IPsec client Phase 2 192.168.24.20 192.168.32.0 Phase 1 Phase 2 Phase 2 ターゲットをホスト 指 定 にするかサブネット 指 定 にするかにより SA 数 が 変 わる 20
(4)SA SAの の 検 証 LifeTimeの の 調 整 センター 拠 点 IPsec gateway Internet Re-Key ADSL ブランチ 拠 点 IPsec 対 応 ADSLルータ ダイナミックにアドレスが 割 り 振 られる 拠 点 (ブランチ 拠 点 )が ダイナミックにアドレスが 拠 点 (ブランチ 拠 点 )が イニシエータになるようにSA LifeTimeを を 短 くする センター 拠 点 >ブランチ 拠 点 21
(4)SA SAの の 検 証 Re-Key Keyに に 要 する 時 間 もし1pps ppsに1つsa SAが が 確 立 するとした 場 合 1000SA SAを を 張 り 終 わるまで1000 秒 ( 約 17 分 ) 必 要 になる 他 のトラフィックがある 中 でのRe Re-Key Keyはさ らに 時 間 がかかる 可 能 性 がある 22
(4)SA SAの の 検 証 SAの の 復 旧 手 順 (2) 装 置 Aを を 強 制 的 に リブートして 装 置 B とのSA SAを を 復 旧 VPNVPN VPN VPN VPN 装 置 -A 装 置 -B 装 置 -C VPN VPN VPN VPN (3) リブートしたことにより 装 置 C DのSA SAも も 削 除 装 置 -D 製 品 によりSA 復 旧 の 手 順 が 異 なる 異 機 種 接 続 の 場 合 は 実 機 での 検 証 が 必 要 手 動 で 復 旧 が 必 要 な 場 合 は 手 順 書 等 で 明 文 化 しておく (1) 装 置 Bが が 停 電 でリブート (4) 装 置 C Dもリブート して 装 置 Aとの とのSA SAを 再 構 築 23
(4)SA SAの の 検 証 異 機 種 のSA 復 旧 手 順 確 認 試 験 AとBの2 機 種 の 場 合 初 期 SA 確 立 時 の 条 件 Aがイニシエーター SAの 状 態 AのSAが 残 った 状 態 Aのフェーズ2のみ 削 除 BのSAが 残 った 状 態 Bのフェーズ2のみ 削 除 リブートした 側 pingした 側 結 果 備 考 Bをリブート Aからping Bをリブート Bからping Bをリブート Aからping Rekeyしない Bをリブート Bからping Aをリブート Aからping Aをリブート Bからping Aをリブート Aからping Aをリブート Bからping 90 秒 後 SA 確 立 Bがイニシエーター AのSAが 残 った 状 態 Aのフェーズ2のみ 削 除 BのSAが 残 った 状 態 Bのフェーズ2のみ 削 除 Bをリブート Aからping Bをリブート Bからping Bをリブート Aからping Bをリブート Bからping Aをリブート Aからping Aをリブート Bからping Aをリブート Aからping Aをリブート Bからping 90 秒 後 SA 確 立 24
(5) 経 路 上 のルータの 設 定 IPsecでは 様 々なプロトコルを 使 用 する それらが 透 過 的 に 流 れるよう に 経 路 上 のルータのフィルタリングを 設 定 特 にISP ISPのルータには 注 意 事 前 に 申 し 入 れることを 推 奨 IPsec IPsecで で 使 用 するプロトコル UDP 500 ISAKMP IP type 51 AH (Authentication Header) IP type 50 ESP (Encapsulation Security Payload) 認 証 プロトコルなど CA, LDAP 製 品 固 有 の 管 理 用 プロトコルなど SSL, SNMP, FTP, 独 自 25
(6)IP IPアドレスの 運 用 ネットワークの 分 割 トンネルモードで 使 用 の 場 合 IPsec 機 器 の 前 後 でネッ トワークが 異 なる サブネットの 再 設 定 もありえる ファイア ウォール IPsec gateway 社 内 LAN Router Internet ブリッジモードサポートの 製 品 ではサブネットを 変 更 せずに 設 計 することも 可 能 192.168.32.0 202.10.5.0 202.10.1.0 26
(6)IP IPアドレスの 運 用 IPアドレスの 重 複 BtoBなどエクストラネットで 他 社 拠 点 と 接 続 する 場 合 は 双 方 のプライベートアドレ スの 重 複 を 避 ける グローバルアドレスを 割 り 振 る NATによりグローバルアドレスに 変 換 27
(6)IP IPアドレスの 運 用 モバイル 端 末 に 割 り 振 るIP IPアドレスの 保 持 IPsec-DHCP DHCPなど 方 式 の 違 いによりアドレ スのプール 数 が 異 なる モバイル 端 末 が 同 時 に 数 百 台 がアクセ スしてくる 場 合 はアドレス 空 間 に 注 意 28
(7)フラグメンテーション IPsecヘッダが 不 可 されることでパケット 長 が 延 長 される フラグメンテーションによる 通 信 効 率 の 劣 化 に 注 意 MTUの の 調 整 (1380 1380byte 程 度 が 良 さそう) DF=1にして にしてPMTU PMTUを を 通 す 29
(8) 認 証 方 法 の 選 択 IPsec 標 準 のPre Pre-Shared Key 小 規 模 VPNおよび および1 対 n 接 続 に 向 く 拡 張 認 証 RADIUS 認 証 モバイルVPN VPNに に 適 する 各 種 認 証 デバイス(ワンタイムパスワード 等 )による 認 証 強 化 が 可 能 製 品 によりサポート 状 況 に 差 あり CA 認 証 モバイルVPN VPNおよび 大 規 模 VPN(n 対 n 接 続 )に 適 する 各 種 認 証 デバイス(IC ICカード 等 )による 認 証 強 化 が 可 能 製 品 によりサポート 状 況 に 差 あり 30
(9)NAT 併 用 の 注 意 点 s d 暗 号 化 データ G2 G3 P1 P4 data G3 P4 Internet NATによるアドレスの 付 け 替 えは IPsecとしては なりすまし として 認 識 される(AH 使 用 の 場 合 ) IPsecでは ではTCP/UDP TCP/UDPも も 暗 号 化 する ので ポート 番 号 等 が 見 えなくなる IPますカレード 等 では NAT NATルータ が 複 数 のセッションを 管 理 するた めの 情 報 がなくなることになる ESPではスタティック ではスタティックNAT NAT( 静 的 な アドレス 変 換 )であれば 可 能 アドレス 変 換 s d 暗 号 化 データ G2 NAT Router G1 G3 P1 P4 data G1 トンネリング s P1 d P4 data P1 P2 P3 31
(9)NAT 併 用 時 の 注 意 NAT 併 用 時 問 題 点 の 回 避 策 NATルータ 自 身 がIPsec IPsecを を 実 装 NAT Traversalの の 標 準 化 により 問 題 解 決 32
(10 10)Firewall 併 用 時 の 注 意 点 ポート 番 号 などの 情 報 が 欠 けるため 暗 号 化 されたデータはFirewall Firewallを を 通 過 出 来 ない 場 合 がある FirewallがNAT NATをする 場 合 の 問 題 もある 33
(10 10)Firewall 併 用 時 の 注 意 点 global Private Internet Router FIREWALL 暗 号 化 Firewallの の 内 側 へIPsec IPsecを を 置 く 場 合 暗 号 化 パケットを 通 過 させるために 様 々な 設 定 をFirewall Firewallに に 行 う 必 要 が 有 る FirewallがNAT NATを を 行 う 場 合 は NAT NATルー タと 同 じ 問 題 が 発 生 する この 設 置 方 法 は 避 けた 方 が 賢 明 IPsec 非 暗 号 化 事 業 所 LAN 34
(10 10)Firewall 併 用 時 の 注 意 点 IPsec Internet Router 暗 号 化 Firewallの の 外 側 へIPsec IPsecを を 置 く 場 合 Firewallに に 到 達 する 前 にデータは 復 号 化 されているのでFirewall Firewallのフィルタリ ング 設 定 には 影 響 を 与 えない FirewallがNAT NATを を 行 う 場 合 は IPsec gatewayから 見 ると 事 業 所 LAN 上 のホ ストがすべて 同 じIP IPに に 見 えるので 細 かなセキュリティポリシーが 設 定 でき ない global Private FIREWALL 非 暗 号 化 事 業 所 LAN 35
(10 10)Firewall 併 用 時 の 注 意 点 global Private 一 般 支 店 サイト Internet Router FIREWALL 事 業 所 LAN IPsec 暗 号 化 非 暗 号 化 FirewallとIPsec IPsecを を 並 列 に 置 く 場 合 FirewallとIPsec gatewayを 並 列 に 設 置 し 用 途 に 応 じ て 経 路 を 使 い 分 ける 拠 点 間 で 暗 号 化 通 信 をする 時 はIPsec gateway 側 の 経 路 を 使 用 し Internet 上 の 一 般 サイトへアクセスする 時 はFirewall 側 の 経 路 を 使 用 する ルータなどによる 経 路 設 定 が 必 要 Firewallの の 設 定 に 影 響 をお よぼさない 他 社 との 接 続 ではIP IPアドレ スの 重 複 に 注 意 36
(10 10)Firewall 併 用 時 の 注 意 点 global Private 一 般 支 店 サイト Internet Router DMZ FIREWALL IPsec 暗 号 化 非 暗 号 化 FirewallのDMZ 経 由 でIPsec を 並 列 に 置 く 場 合 前 ページの 構 成 のバリ エーションで IPsec gatewayの の 内 側 のポート をFirewall FirewallのDMZ DMZに に 接 続 前 ページと 同 様 に 暗 号 化 と 非 暗 号 化 の 経 路 を 使 い 分 けるが そのルー ティングをFirewall Firewallにさせ る 事 業 所 LAN 37
(11 11)その 他 ソリューションとの 併 用 の 注 意 点 QoSとの 併 用 暗 号 データはQoS QoSを を 適 用 できない 場 合 がある QoSが が 適 用 される 前 に 平 文 に 戻 るように 設 置 位 置 に 注 意 する ウィルスチェックサーバとの 併 用 暗 号 データはウィルスチェックを 適 用 できない 場 合 があ る ウィルスチェックが 行 なわれる 前 に 平 文 に 戻 るように 設 置 位 置 に 注 意 する 社 内 LAN QoS ウィルスチェック サーバ Router Internet 38
(12 12)IPsec clientの の 仕 様 スループットはプラットホームの 性 能 に 左 右 される 対 応 プラットホーム コンフィグレーション 環 境 設 定 やポリシー 変 更 の 容 易 さ アドレス 管 理 Internet 経 由 のモバイル 環 境 において ISPから 割 り 振 られるダイナミックアドレス とは 別 にユーザが 管 理 するアドレスを 付 与 できることが 望 ましい IPsec-DHCP, PARなど 39
(13 13) 管 理 監 視 機 能 コンフィグレーション 設 定 機 能 アドレス 付 与 ルール 設 定 バージョンアッ プ SA SAの の 状 態 管 理 SA SAの の 削 除 操 作 操 作 環 境 シリアル 接 続 コンソール Web Web TELNET TELNET 独 自 管 理 ツール 40
(13 13) 管 理 監 視 機 能 状 態 管 理 監 視 SNMP Syslog Syslog Web Web 独 自 独 自 管 理 ツー ル Pingによる 死 活 監 視 41
(13 13) 管 理 監 視 機 能 ログ 機 能 SNMP Syslog Syslog Web Web 独 自 管 理 ツール シリアル 接 続 コンソール 42
(14 14) 障 害 対 応 ログ 収 集 機 能 ログ 収 集 方 法 により 精 度 が 異 なる ログの 確 認 設 定 内 容 の 確 認 電 源 の off/on 特 に 遠 隔 操 作 で 対 応 できない 場 合 も 想 定 しておく デバッグツールの 有 無 43
(15 15) 輸 出 規 制 に 関 する 注 意 点 IPsec 製 品 は 暗 号 機 能 を 実 装 しているので 輸 出 規 制 の 対 応 となる 海 外 拠 点 に 設 置 する 場 合 は 注 意 製 品 開 発 元 の 国 の 輸 出 規 制 および 日 本 の 輸 出 規 制 を 事 前 に 確 認 する 必 要 がある 輸 出 規 制 以 外 に 海 外 拠 点 への 設 置 については 時 差 言 葉 の 壁 文 化 の 違 い 等 によりインストールや 保 守 について 十 分 に 事 前 調 整 する 必 要 がある 44
(16 16) 保 守 体 制 メーカや 販 売 元 の 保 守 体 制 を 確 認 方 法 センドバック オンサイト 対 応 時 間 対 応 地 域 費 用 45
1-3. 実 機 試 験 46
実 機 によるパイロットテストの 必 要 性 異 なるメーカの 製 品 を 混 在 する 場 合 ( 異 機 種 間 接 続 ) ADSLなど 比 較 的 新 しい 技 術 に 適 用 する 場 合 実 際 のアプリケーション 環 境 下 で 使 用 する のに 不 安 がある 場 合 標 準 外 の 機 能 を 利 用 する 場 合 (NAT 越 え PKI ) 正 常 時 の 記 録 とエラーの 記 録 47
参 考 NPO 日 本 ネットワークセキュリティ 協 会 http://www.jnsa.org インターネットVPN WG 公 衆 無 線 LAN 環 境 でのIPsec 利 用 の 調 査 NAT-Tに に 関 する 考 察 フラグメンテーションに 関 する 考 察 IPアドレス 重 複 に 関 する 考 察 SAの の 説 明 48
T10:IPSec ~ 技 術 概 要 とセキュアなネットワークの 実 現 手 法 ~ 第 二 部 2. IPsec VPNの の 障 害 対 応 49
2-1. 障 害 状 況 の 把 握 50
現 状 の 把 握 障 害 発 生 < 発 生 時 の 状 況 > 発 生 日 時 特 定 の 時 間 帯 に 発 生 決 まった 曜 日 に 発 生 特 定 の 拠 点 に 発 生 特 定 のホストまたはネットワークに 発 生 特 定 のアプリケーションに 発 生 特 定 のオペレーションの 後 に 発 生 機 器 停 止 機 器 の 自 動 リブート 一 部 通 信 の 不 具 合 遅 延 トラフィックの 増 加 の 後 に 発 生 ター ゲットの 増 減 の 後 に 発 生 回 線 の 変 更 の 後 に 発 生 Re-Key Keyのタイミングで 発 生 CRLの の 更 新 後 発 生 アドレスの 変 更 の 後 に 発 生 その 他 設 定 変 更 の 後 に 発 生 次 ページへ 51
確 認 事 項 前 ページから ハードのインジケータ 状 態 の 確 認 SA SAの の 状 態 の 確 認 パラメータ 設 定 の 確 認 セキュリティポリシーの 確 認 ファームやソフトウェア バージョンの 確 認 ログの 確 認 Ping 試 験 パケットアナライザーによるパケット 評 価 デバックツールの 使 用 52
2-2. 2. 正 常 な 状 態 の 把 握 53
IPsec SAの の 状 態 54
IKE 確 立 までのログ Session Index Date/Time Reported By Log Message 75 03/Dec/2002 07:21:11PM Isakmp ScSA AddSa: SPIs:C0307A1D/2FEF5A47 Loc:192.168.1.* フェーズ 2の 確 立 Rem:192.168.10.* (210.152.196.10) Prot:ESP-3DES[168]-HMAC-MD5 Exp:5:00:00 74 03/Dec/2002 07:21:10PM Isakmp csa Notify from 210.152.196.10: Initial Contact 73 03/Dec/2002 07:21:10PM Isakmp ScSA AddPhase1: Rem:210.152.196.10, ID:"210.152.196.10", フェーズ 1の 確 立 Cookies: 930802BDF812A961/D061A0255F9D657E Prot:DES[56]-MD5, Exp:23:59:59 72 03/Dec/2002 07:21:10PM ShSecrt ScSA Found PW for: 210.152.196.10. 71 03/Dec/2002 07:21:09PM Isakmp ScSA Got policy for peer:210.152.196.1, I am initiator, authentication: shared 70 03/Dec/2002 07:21:09PM Isakmp ScSA Establish Request: 192.168.1.5 to 192.168.10.1 イニシエータとして 動 作 IKEネゴシエーション 65 03/Dec/2002 06:52:15PM Monitor Evnt Red port link: 10Mb HD 49 03/Dec/2002 06:37:18PM Monitor Evnt Black port link: 10Mb HD 48 03/Dec/2002 06:37:18PM Sonic Init LAN interface link status is supported. 47 03/Dec/2002 06:37:18PM Monitor Evnt Gate is now Secure. インタフェースのリンクアップ 34 03/Dec/2002 06:37:08PM Isakmp ScSA Default sa lifetime: 720 33 03/Dec/2002 06:37:08PM Isakmp ScSA Current security level set to "Standard" 32 03/Dec/2002 06:37:08PM Isakmp Init Initialized and running. 初 期 化 と 各 種 パラメータのセット 2 03/Dec/2002 06:36:59PM RTC Init Initialized and running. 1 03/Dec/2002 06:36:59PM RtcNVRA Init Initialized and running. 55
パケット Phase 1セッション (メインモード) Phase 2セッション 暗 号 化 通 信 56
2-3. 障 害 切 り 分 け 57
切 り 分 け 作 業 パケットアナライザまたは 試 験 用 PCの の 接 続 箇 所 ブランチ 拠 点 センター 拠 点 Server IPsec gateway Router Internet Router IPsec gateway Server Server 1 2 3 4 58
切 り 分 け 作 業 可 能 であればパケットアナライザ1 台 でgateway gatewayを 挟 んで 両 側 の 内 外 のパケットを 同 時 に 収 集 IPsec gateway Router Internet パケット アナライザ 記 録 時 間 にズレが 無 くなり 遅 延 などが 把 握 しやすい 59
切 り 分 け 作 業 障 害 が 確 認 された 拠 点 で 現 地 調 査 ブランチで 障 害 発 生 時 は 同 時 にセンター 側 でも 調 査 した 方 が 良 い しかし 実 際 には 人 員 の 手 配 が 付 かずど ちらか 一 方 での 作 業 になることが 多 い 60
Pingによる 切 り 分 け 経 路 上 のどこに 障 害 があるのかを 予 測 問 題 のあるホストまたはネットワークの 特 定 IPsec gatewayの の 障 害 か 否 かの 絞 込 み 61
例 ブランチ 拠 点 にあるクライアントからセンター 拠 点 のあるサーバにアクセスできなくなった と 想 定 62
Pingによる 切 り 分 け 58ページの 図 においてブランチ 側 で 切 り 分 け 作 業 を 行 なう と 想 定 1にpingを 送 信 するPC PCを を 設 置 2にパケットアナライザを 設 置 1からセンター 内 問 題 のサーバへping pingを を 打 つ 1からセンターの 別 のサーバやPC PCにping pingを を 打 つ 1からセンター IPsec gatewayの の 内 部 LAN 側 I/Fにping を 打 つ 1からセンター 側 ルータへping pingを を 打 つ 1からセンター IPsec gatewayのinternet 側 I/Fにping pingを 打 つ 2で 収 集 したパケットの 確 認 63
Pingによる 切 り 分 け 確 認 事 項 アプリケーションはだめでもping pingは は 通 るか SAは は 確 立 しているか IKEはどこで 失 敗 するか どことどこの 間 に 問 題 がありそうか 原 因 箇 所 の 絞 込 み アプロケーション ホスト 経 路 IPsec IPsecの 設 定 IKE IKEネゴ 64
Pingによる 切 り 分 け 前 頁 までの 作 業 で 障 害 箇 所 が 見 つからない 場 合 IPsec clientを を 実 装 した 試 験 用 PCを2に 接 続 2から 問 題 のサーバへping pingを を 打 つ 2からセンター 内 の 別 のサーバやPC PCにping を 打 つ 2からセンター IPsec gatewayの の 内 部 LAN 側 I/Fにping pingを を 打 つ 同 様 に2からブランチ 内 へもping pingを を 打 つ 65
Pingによる 切 り 分 け 確 認 事 項 ブランチのIPsec Gatewayの の 外 からなら 問 題 ないか SAは は 確 立 しているか IKEはどこで 失 敗 するか どことどこの 間 に 問 題 がありそうか 66
パケットアナライザによる 切 り 分 け IPsec gateway 内 部 で 何 が 起 こっているの か=ログの 調 査 ログ 収 集 方 法 により 精 度 が 異 なることに 注 意 外 部 で 何 が 起 こっているのか=パケットア ナライザによる 解 析 IPsec gatewayを を 挟 むようにパケットアナ ライザを 設 置 67
パケットアナライザによる 切 り 分 け 58ページの 図 においてブランチ 側 で 切 り 分 け 作 業 を 行 なうと 想 定 12にパケットアナライザを 設 置 障 害 の 起 こるオペレーションを 実 施 その 際 のパケットの 収 集 とIPsec gatewayの ログを 照 らし 合 わせて 解 析 68
パケットアナライザによる 切 り 分 け 確 認 事 項 IKEのどのプロセスで 失 敗 するか 何 往 復 目 で 止 まるか はUDP500 UDP500が が 経 路 上 でフィルタされている 可 能 性 有 り 内 部 ログでエラーが 記 録 されているか 69
パケットアナライザによる 切 り 分 け 確 認 事 項 IKEは は 成 功 しているがパケットのやり 取 り ができない 1と2でパケットにロスが 確 認 できる 1と2で 遅 延 が 確 認 できる 70
パケットアナライザによる 切 り 分 け No. 発 アドレス 着 アドレス byte 時 間 サービス 1 IP-192.168.16.30 IP-192.168.16.35 154 30:32.8 IP UDP 2 IP-192.168.16.35 IP-192.168.16.30 206 30:32.8 IP UDP 3 IP-192.168.16.30 IP-192.168.16..35 226 30:32.9 IP UDP 4 IP-192.168.16.35 IP-192.168.16.30 226 30:33.0 IP UDP 5 IP-192.168.16.30 IP-192.168.16.35 138 30:33.1 IP UDP 6 IP-192.168.16.35 IP-192.168.16.30 106 30:33.1 IP UDP 7 IP-192.168.16.30 IP-192.168.16.35 930 30:33.3 IP UDP 8 IP-192.168.16.35 IP-192.168.16.30 338 30:33.3 IP UDP 9 IP-192.168.16..30 IP-192.168.16.35 98 30:33.5 IP UDP 10 IP-192.168.16.30 IP-192.168.16.35 306 30:33.8 IP ESP 11 IP-192.168.16.35 IP-192.168.16.30 90 30:34.0 IP ESP 12 IP-192.168.16.35 IP-192.168.16.30 114 30:38.4 IP ESP 13 IP-192.168.16.30 IP-192.168.16.35 90 30:38.6 IP ESP 0.2 4.4 0.2 0.7 4.8 ク ラ イ ア ン ト ~ サ ー バ 確 認 箇 所 各 パケット 間 の 時 間 1と2で 拾 ったパケット 間 での 遅 延 71
2-3. 原 因 の 特 定 72
現 地 の 切 り 分 けで 発 見 切 り 分 け 作 業 で 発 生 箇 所 を 絞 込 み 原 因 を 特 定 トリガーになるオペレーションを 実 施 発 生 時 間 に 合 わせて 精 度 を 上 げた 再 調 査 73
擬 似 環 境 で 再 現 試 験 擬 似 環 境 で 予 想 される 原 因 を 試 し 障 害 を 再 現 障 害 原 因 の 予 測 高 負 荷 ショートパケット SA 数 Re-Key 特 定 アプリケーション 74
デバッグ 実 環 境 あるいは 擬 似 環 境 で 障 害 を 再 現 し デバッグ 共 通 秘 密 鍵 がエクスポートできる 機 種 な らデコード 機 能 付 きパケットアナライザ ( 松 下 電 工 NetCocoon 等 )が 使 用 可 能 メーカのデバッグツールの 使 用 改 善 案 を1つずつ 段 階 的 に 試 し 原 因 と 改 善 策 を 決 定 75
IPsec ご 清 聴 ありがとうございました 株 式 会 社 ディアイティ 山 田 英 史 eiji@dit.co.jp 76